中國信通院發(fā)布“威脅信息藍皮報告”，解讀威脅信息三大落地方向

科技云報道原創(chuàng)。

隨著網(wǎng)絡攻擊技術(shù)的更新迭代，政企機構(gòu)面臨著愈加嚴峻的網(wǎng)絡威脅和挑戰(zhàn)，如何有效檢測未知的網(wǎng)絡威脅成為網(wǎng)絡安全行業(yè)各方的共同著眼點。

在此背景下，網(wǎng)絡安全威脅信息（英文為Threat Intelligence ，即威脅情報）正在重構(gòu)安全防護體系，幫助政企機構(gòu)更好的“知己”“知彼”，實現(xiàn)較為精準的動態(tài)防御，為政企機構(gòu)數(shù)字化轉(zhuǎn)型安全建設提供全新路徑和手段，受到了業(yè)界的廣泛關(guān)注和認可。

為了進一步提升廣大政企機構(gòu)的網(wǎng)絡安全實戰(zhàn)能力，近日中國信息通信研究院安全研究所聯(lián)合北京微步在線科技有限公司共同研究編制了《2020年網(wǎng)絡安全威脅信息研究報告（2021年）》（以下簡稱“報告”），對網(wǎng)絡安全威脅信息的產(chǎn)業(yè)發(fā)展現(xiàn)狀和趨勢進行了梳理，并結(jié)合行業(yè)案例分享了威脅信息的應用落地情況。

報告指出，威脅信息的本質(zhì)是知識，如何在具體場景將知識落地并取得成效，是在各行業(yè)開展網(wǎng)絡安全威脅信息應用的核心問題。

立足我國具體國情和網(wǎng)絡安全需求，目前國內(nèi)威脅信息應用落地有以下三個方向可供參考。

?

落地方向一：結(jié)合檢測技術(shù)

?

在安全產(chǎn)品研發(fā)階段，將威脅信息與流量分析、終端檢測技術(shù)相結(jié)合，落地為基于網(wǎng)絡安全威脅信息的檢測響應類產(chǎn)品，部署在用戶機構(gòu)對應的網(wǎng)絡環(huán)境中。

?

在這一方向上，第三方云服務是威脅信息落地的重要場景之一。

隨著越來越多的政企業(yè)務向公有云、政務云遷移，云端已成為黑客、黑產(chǎn)團伙的又一攻擊目標。

作為云服務提供商，需要提升云端整體的安全檢測與分析能力，在海量的攻擊中識別真實威脅，并對暴露資產(chǎn)進行全面梳理，提升云服務提供商對租戶的安全運營能力，幫助租戶應對安全威脅，并滿足合規(guī)要求。

?

以某云計算服務商為例，針對公有云和政務云兩個服務場景，均部署了微步在線具備威脅信息能力的威脅感知設備，以便更好地發(fā)現(xiàn)內(nèi)部威脅、檢測外部威脅、識別資產(chǎn)風險。

來源：中國信通院

圖：云計算服務商威脅信息管理部署

對于公有云，該云服務商依托威脅信息進行失陷主機檢測、定位以及取證分析，完成處置閉環(huán)。

?

首先，在公有云網(wǎng)絡出口位置部署具備威脅信息能力的威脅感知設備，并旁路鏡像接入出站方向流量及內(nèi)部DNS日志；其次，利用威脅信息發(fā)現(xiàn)內(nèi)部失陷主機，并對失陷主機內(nèi)網(wǎng)滲透路徑、數(shù)據(jù)竊取等行為進行描繪。

?

對于政務云，該云服務商依托威脅信息，覆蓋各租戶的外部攻擊感知、內(nèi)部失陷威脅、資產(chǎn)風險梳理需求。

?

首先，在政務云網(wǎng)絡出口位置部署具備威脅信息能力的威脅感知設備，并在旁路鏡像接入出入站雙向流量；其次，利用威脅信息、行為規(guī)則、機器學習、沙箱等技術(shù)，對外部攻擊、內(nèi)部失陷、內(nèi)網(wǎng)橫移、加密、數(shù)據(jù)竊取等全攻擊鏈威脅進行檢測，并將敏感行為、告警結(jié)合威脅信息進行智能聚合完整還原攻擊路線，描繪黑客畫像。

?

此外，利用旁路監(jiān)聽，對租戶應用系統(tǒng)暴露的服務、域名、端口、IP，以及管理后臺、弱密碼、API接口等資產(chǎn)風險進行全面梳理；最后，通過安全運營平臺，對各租戶的威脅事件和資產(chǎn)風險進行分離和獨立呈現(xiàn)，為各租戶提供安全增值服務。

?

落地方向二：建立共享機制

?

對于分支部門較多的用戶機構(gòu)，建立本地威脅信息管理平臺，構(gòu)建網(wǎng)絡威脅信息庫和威脅信息共享機制，提高網(wǎng)絡威脅挖掘研發(fā)和應用能力。

?

共享機制的建立，既包括總部和各分支機構(gòu)子公司的信息共享，也包括企業(yè)不同部門之間的協(xié)同研判，能夠讓企業(yè)對威脅信息進行深入分析，為企業(yè)提供準確的、可讀的、有指導性的分析結(jié)果，研判報警的真實性、攻擊者意圖以及對應的風險等級，并且獲得攻擊者和惡意樣本的詳盡信息，充分發(fā)揮威脅情報的真正價值，為安全決策做全面支撐。

?

以某網(wǎng)絡視頻平臺為例，除了不斷加劇的網(wǎng)絡黑客攻擊之外，新的業(yè)務形態(tài)也帶來了新型風險，如：撞庫盜號、盜播盜看、營銷活動“薅羊毛”、刷量刷人氣、支付場景下的欺詐等行為，對該視頻平臺的穩(wěn)定運營帶來了很大的沖擊。

?

為了填補自身安全體系的攻擊事件提取能力，提高網(wǎng)絡攻擊檢測響應效能和業(yè)務風控能力，該網(wǎng)絡視頻平臺部署了微步在線的威脅信息管理平臺，并形成共享的威脅信息庫，具體落地方案如下：

?

一方面，通過流量鏡像實時檢測可能的威脅，加強對未知威脅的發(fā)現(xiàn)和識別，并結(jié)合現(xiàn)有處置制度進行工單流轉(zhuǎn)，形成高效的運營處置閉環(huán)，預防和及時處理各類網(wǎng)絡風險安全事件。

?

另一方面，威脅信息管理平臺與日志系統(tǒng)、業(yè)務風控系統(tǒng)對接聯(lián)動，將專業(yè)機構(gòu)的威脅信息和風控等業(yè)務相關(guān)的威脅信息聚合。

利用威脅信息共享機制，威脅信息管理平臺能夠過濾篩選海量日志，以高質(zhì)量的威脅信息數(shù)據(jù)支持相關(guān)的風險防控工作，賦能業(yè)務風控形成多維度分析因子，提升平臺異常風險用戶識別精準度，避免出現(xiàn)大面積封禁造成用戶無法訪問平臺的現(xiàn)象，對于該視頻平臺安全風控團隊及時掌安全態(tài)勢并做出正確響應具有重要價值。

?

來源：中國信通院

圖：網(wǎng)絡視頻平臺威脅信息管理部署

?

落地方向三：聯(lián)動安全設備

?

聯(lián)動其他網(wǎng)絡安全設備，如IDS/防火墻、日志大數(shù)據(jù)平臺等，與現(xiàn)有處置知識庫與工單系統(tǒng)構(gòu)建閉環(huán)處置流程，提升用戶機構(gòu)網(wǎng)絡安全的整體檢測響應能力。

?

事實上，對于很多應對高級威脅已經(jīng)乏力的傳統(tǒng)安全產(chǎn)品來說，與威脅信息的聯(lián)動，能夠?qū)崿F(xiàn)數(shù)據(jù)的分享與交換，形成基于威脅情報的感知能力，進一步提升企業(yè)的整體安全防護能力，解決來自各種安全設備的海量安全告警問題。

?

近年來，電子信息制造業(yè)已成為我國國民經(jīng)濟的重要支柱產(chǎn)業(yè)，并逐漸呈現(xiàn)國際化趨勢。

由于存儲了高價值知識產(chǎn)權(quán)與先進設計文件或數(shù)據(jù)的主機或服務器，容易成為黑客攻擊目標。

同時，電子信息制造商往往在全球有多個辦公區(qū)域，員工多、終端多，網(wǎng)絡架構(gòu)復雜，開展網(wǎng)絡安全防護工作有一定難度。

?

為了應對未知的高級威脅，某電子信息制造商在企業(yè)網(wǎng)絡內(nèi)部部署了微步在線的威脅信息管理平臺，并與現(xiàn)有防火墻對接，建立了閉環(huán)協(xié)作運營機制。

?

一方面，結(jié)合防火墻中網(wǎng)絡出站訪問日志，碰撞威脅信息管理平臺中高質(zhì)量IOC失陷指標（域名、IP），將確定的惡意域名回傳給防火墻。

防火墻將收到的惡意域名添加黑名單并自動進行攔截與告警，彌補防火墻的內(nèi)網(wǎng)失陷威脅檢測能力。

?

另一方面，利用威脅信息管理平臺的聯(lián)動能力，定期與威脅信息云進行數(shù)據(jù)同步和更新，確保失陷威脅發(fā)現(xiàn)和威脅攔截的準確性和及時性，實現(xiàn)防火墻對外連惡意通信的自動化阻斷。

來源：中國信通院

圖：電子信息制造商威脅信息管理部署

?

與電子信息制造業(yè)面臨著類似問題的還有電信企業(yè)。由于承載了海量公民個人信息以及網(wǎng)絡流量信息，電信企業(yè)很容易成為攻擊者竊取數(shù)據(jù)的重點攻擊目標。

?

以某電信企業(yè)為例，為了實現(xiàn)企業(yè)網(wǎng)絡威脅檢測能力的全覆蓋，提升高級威脅發(fā)現(xiàn)識別能力，利用微步在線威脅信息賦能的威脅感知設備，對云租戶網(wǎng)絡、企業(yè)自用網(wǎng)絡、企業(yè)辦公網(wǎng)的出入站全流量進行檢測，將告警日志統(tǒng)一接入大數(shù)據(jù)平臺。

?

同時，與現(xiàn)有處置預案知識庫與工單系統(tǒng)聯(lián)動，形成高效的運營處置閉環(huán)，提升了對網(wǎng)絡威脅的檢測和響應能力，為業(yè)務的穩(wěn)定連續(xù)增加了一道防線。

來源：中國信通院

圖：基礎電信企業(yè)威脅信息管理部署

?

結(jié)語

?

如今，攻擊者對國家政府部門、關(guān)鍵信息基礎設施、關(guān)鍵行業(yè)機密的攻擊越來越猖獗，網(wǎng)絡空間已成為國家安全的又一重要角力場。

金融、能源、電力、通信、交通等行業(yè)的關(guān)鍵信息基礎設施一旦遭到攻擊，可能導致交通中斷、金融紊亂、電力癱瘓等嚴重后果，對國家安全具有極大的破壞力與殺傷力；核電、軍工、高校、科技等領域的研發(fā)核心數(shù)據(jù)如果被竊取，可能會造成國家和企業(yè)機密泄露，后患無窮。

?

網(wǎng)絡安全威脅信息能夠檢測與阻止內(nèi)外威脅，增加黑客入侵成本，降低入侵速度，提升主動防御能力，確保組織提前做好準備，應對攻擊，避免機密和數(shù)據(jù)泄露及資產(chǎn)損失，保護國家關(guān)鍵信息基礎設施穩(wěn)定安全運行。

因此，網(wǎng)絡安全威脅信息的應用落地對政企機構(gòu)的網(wǎng)絡安全建設和運營具有重要意義。

?

作為國內(nèi)首個“威脅信息”權(quán)威報告，《2020年網(wǎng)絡安全威脅信息研究報告（2021年）》系統(tǒng)梳理了四大行業(yè)的典型應用場景，以詳實的案例分析，為國內(nèi)廣大政企機構(gòu)應用落地威脅信息提供了參考和指南。

【關(guān)于科技云報道】

專注于原創(chuàng)的企業(yè)級內(nèi)容行家——科技云報道。成立于2015年，是前沿企業(yè)級IT領域Top10媒體。獲工信部權(quán)威認可，可信云、全球云計算大會官方指定傳播媒體之一。深入原創(chuàng)報道云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等領域。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。